Zitat:
Zitat von laborix
Eigentlich könntest du ja eine Anleitung schreiben wie man diese Lücke stopft. Die Null Byte Geschichte in PHP 5.3.x sollte gefixed sein (laut Bugzilla), im IE war das zweimal und auch gefixed. Ob es in PHP 5.6 diese wieder in einer anderen Form gibt, Fragezeichen?
|
Es ist nichts was man fixen müßte. Wie gesagt das Nullbyte ist in PHP ein gültiges Zeichen. Der "Bug" liegt darin, dass manche Funktionen das Null als Ende betrachten. Die auf den von dir verlinkten Seiten zeigen aber letztlich ganz andere Probleme. Wer über ungefilterte Usereingaben Dateien einbindet ist bereits in Teufels Küche. Da spielt das Nullbyte nur eine kleine Rolle.
Du machst es ja schon richtig. Also nicht die Usereingabe direkt benutzen, sondern ob diese mit einer gültigen Eingabe übereinstimmt und mit diesen Daten dann eine Datei einbinden.
Ansonsten ist diese Eingabe erstmal nicht weiter tragisch. Wenn du nur darstellbare Zeichen erwartest, dann musst du diese alle ausfiltern.